信息安全技术基于生物特征识别的移动智能终端身份鉴别技术框架

身份鉴别技术框架范围本标准规定了基于生物特征识别的移动智能终端身份鉴别的技术框架、业务流程、功能要求和安全要求。本标准适用于基于生物特征识别的移动智能终端身份鉴别系统的设计、开发与集成。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求GB/T26238-2010信息技术生物特征识别术语GB/T34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求GB/T35273-2017信息安全技术个人信息安全规范GB/T35281-2017信息安全技术移动互联网应用服务器安全技术要求GB/TAAAAA-AAAA信息安全技术基于可信环境的生物特征识别身份鉴别协议框架ISO/IEC30107.1:2016信息技术生物特征识别呈现攻击检测第1部分：框架（Informationtechnology-Biometricpresentationattackdetection-part1:Framework）术语、定义和缩略语术语和定义GB/T26238-2010界定的以及下列术语和定义适用于本文件。生物特征识别biometrics基于个体的行为特征和生物学特征，对该个体进行的自动识别。注：“个体”限指人。[GB/T26238-2010，定义2.1.2]生物特征项biometricfeature从生物特征样本中提取的，用于比对的数值或标记。[GB/T26238-2010，定义2.2.2.2.2.4]生物特征识别器biometricmatcher基于个体的行为特征和生物学特征执行用户验证时使用的组件。[GB/TAAAAA-AAAA，定义3.12]生物特征样本biometricsample先于生物特征项提取，且从生物特征采集子系统获得的模拟的或数字的生物识别特征的表示。[GB/T26238-2010，定义2.2.2.2.2.10]生物特征模板biometrictemplate参考的生物特征项的集合，已存储的生物特征项的集合，可直接与探针生物特征样本的生物特征项进行比对。[GB/T26238-2010，定义2.2.2.2.2.9.2]比对comparison估算、计算或测量生物特征探针与生物特征参考之间的相似度和相异度。[GB/T26238-2010，定义2.2.4.1.2]执行环境executionenvironment存在于移动设备中的软硬件集合，能够为应用程序在移动设备中的运行提供必要的能力支持，一般包括硬件处理单元、易失性存储单元、非易失性存储单元、操作系统、调用接口等组件。身份鉴别identityauthentication在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。呈现攻击presentationattack以干扰生物特征识别系统的操作为目的，针对生物特征数据采集模块的一种攻击行为。[ISO/IEC30107-1：2016，定义3.5]依赖方relyingparty依赖于其他实体（例如身份鉴别服务器）提供的关于用户的鉴别结果，对用户所使用的资源或者系统进行授权的实体。[GB/TAAAAA-AAAA，定义3.14]移动智能终端smartmobileterminal能够接入移动通信网，具有能够提供应用程序开发接口的开放操作系统，并能够安装和运行应用软件的移动终端。可信应用trustedapplication运行在可信环境下，为客户端软件或其他应用提供安全相关服务的软件。可信应用管理trustedapplicationmanagement提供应用发行管理和安全模块管理功能的系统。可信环境trustedenvironment用户设备上的安全区域，该安全区域可更好保证加载到该环境内部的代码和数据的安全性，包括保密性和完整性，如TEE、SE、TCM或其他具备安全边界的保护区域。缩略语下列缩略语适用于本文件。CA：证书认证机构（CertificationAuthority）REE：富执行环境（Richexecutionenvironment）SDK：软件开发工具包（Softwaredevelopmentkit）SE：安全单元（SecureElement）SSL：安全套接层（SecureSocketLayer）TA：可信应用（TrustedApplication）TAM：可信应用管理（TrustedApplicationManagement）TE：可信环境（TrustedEnvironment）TEE：可信执行环境（TrustedExecutionEnvironment）TLS：传输层安全（TransportLayerSecurity）TCM：可信密码模块（TrustedCryptographyModule）概述本标准规范了基于生物特征识别的移动智能终端身份鉴别技术框架，并通过身份鉴别协议实现身份鉴别注册、身份鉴别和身份鉴别注销等业务流程。通常用户先进行身份鉴别注册，在成功注册后，会为本次注册过程生成相应的用户鉴别密钥并与本次注册过程进行绑定。在对用户进行身份鉴别时，首先通过移动智能终端所支持的生物特征识别器对用户进行验证，只有在验证通过后才能够具备权限使用注册过程中生成并绑定的用户鉴别密钥，实现服务器端对用户的身份鉴别。在身份鉴别注销过程中，移动智能终端和服务器端将注册关系以及对应绑定的用户鉴别密钥删除。本标准可为移动智能终端上基于生物特征识别技术的身份鉴别相关应用的设计、开发、使用提供统一的基础技术架构，以此技术框架为基准，为相关功能单元、接口、协议提出功能和安全的基本要求。基于该技术框架实现的身份鉴别应用案例可参见附录B。本标准涉及个人信息保护的相关技术要求，应符合GB/T35273-2017和GB/T34978-2017的规定。技术架构总体框架基于生物特征识别的移动智能终端身份鉴别技术框架主要包括移动智能终端和服务器侧的若干功能单元，总体技术框架如图1所示。基于生物特征识别的移动智能终端身份鉴别技术框架移动智能终端侧一般包括移动应用、身份鉴别中间件、身份鉴别可信应用、生物特征识别器、采集元件等功能单元。本标准所规范的技术框架基于可信环境实现，运行于移动智能终端的身份鉴别协议解析、用户生物特征采集、比对、存储与呈现攻击检测等均应在可信环境中进行。本标准中，可信环境的具体实现方式可采用TEE或TEE与SE组合使用的方式。根据安全需求，单独采用TEE可作为安全基本级的可信环境，采用TEE与SE的组合使用可作为安全增强级的可信环境，其他的可信环境实现方式不在本标准规定范围之内。服务器侧包括身份鉴别服务器和依赖方服务器。身份鉴别服务器包括身份鉴别服务模块，可具备可信应用管理和可信设备管理等模块。移动智能终端侧功能单元移动应用移动应用是移动智能终端中使用生物特征识别身份鉴别功能的应用软件。移动应用通常安装运行在REE中。当需要基于生物特征识别进行用户身份鉴别时，通过身份鉴别中间件调用位于可信环境中的身份鉴别可信应用进而启动生物特征识别器实现对用户的生物特征识别，并基于身份鉴别协议与依赖方和身份鉴别服务器进行交互完成对用户的身份鉴别过程。身份鉴别中间件身份鉴别中间件为移动应用提供了身份鉴别服务的相关操作接口，负责REE中移动应用与可信环境中身份鉴别可信应用之间身份鉴别相关的通信。身份鉴别中间件可是集成在移动智能终端操作系统中的系统服务，也可是集成在移动应用中的专有SDK，或者是运行于移动智能终端中的独立应用软件。身份鉴别可信应用身份鉴别可信应用负责身份鉴别协议的解析和处理，并负责管理其所支持的生物特征识别器，基于鉴别协议中所选择的的生物特征识别器完成对用户的生物特征验证过程。身份鉴别可信应用负责对身份鉴别相关的用户鉴别密钥的管理，包括用户鉴别密钥的生成、存储、使用和删除。身份鉴别可信应用可通过预置方式在出厂前安装在移动智能终端中，也可通过远程动态下载方式安装在移动智能终端中。生物特征识别器生物特征识别器是位于移动智能终端上的一个生物特征识别系统，能够基于生物特征识别技术对用户生物特征进行验证，一般由特征采集模块、特征存储模块和特征比对模块等构成，其中：特征采集模块通过生物特征采集元件采集用户的生物特征样本，并对符合采集质量要求的生物特征样本进一步提取出生物特征项，以用于后续的特征存储模块或特征比对模块。特征存储模块用于存储用户录入的生物特征模板。特征比对模块通过将所采集的用户生物特征样本与特征存储模块中已录入的一个或多个生物特征模板进行比对，并对比对结果进行识别决策，判断用户是否验证通过。采集元件采集元件与生物特征识别器连接，可被生物特征识别器调用并对用户的生物特征样本进行采集。服务器侧功能单元依赖方依赖方主要负责提供移动应用的后台服务，基于身份鉴别协议与移动应用和身份鉴别服务器进行交互，完成身份鉴别的各个业务流程。在身份鉴别过程中，依赖方从身份鉴别服务器获得用户的身份鉴别结果，并根据鉴别结果提供相应权限的服务或资源。身份鉴别服务器概述身份鉴别服务器包括身份鉴别服务模块和可信管理模块。其中，身份鉴别服务模块是必选模块，主要负责在服务器侧对身份鉴别注册关系进行管理，对身份鉴别协议进行解析并验证，并向依赖方提供身份鉴别结果。可信管理模块主要负责对移动智能终端和身份鉴别可信应用进行可信管理。身份鉴别服务模块身份鉴别服务模块主要负责：在身份鉴别注册业务流程中，校验注册过程中所使用生物特征识别器的真实性和完整性，创建和存储用户新申请的身份鉴别注册关系，存储注册过程中生成的用户鉴别密钥并与注册关系进行绑定；在身份鉴别业务流程中，校验鉴别过程中所使用生物特征识别器的真实性和完整性，识别此次业务中所使用的身份鉴别注册关系，并使用绑定的用户鉴别密钥对身份鉴别协议中的信息进行验证；在身份鉴别注销业务流程中，删除相应的身份鉴别注册关系以及绑定的用户鉴别密钥。将身份鉴别结果通过可信的方式传递给依赖方。可信管理可信管理主要包括：可信应用管理模块，负责对身份鉴别可信应用的生命周期管理，包括下载、安装、更新以及删除等操作。如在移动智能终端侧使用了安全单元，也负责对安全单元中的可信应用的生命周期进行管理。可信设备管理模块，负责对移动智能终端可信设备列表进行管理。业务流程基于生物特征识别的移动智能终端身份鉴别一般包括：注册、鉴别和注销三个业务流程，应符合GB/TAAAAA-AAAA关于业务流程的规定。通讯协议身份鉴别协议身份鉴别协议应符合GB/TAAAAA-AAAA第7章关于协议接口的规定，可参考GB/TAAAAA-AAAA附录C中关于协议接口的描述。可信管理协议服务器侧可通过可信管理协议对智能终端侧的可信应用、可信设备进行生命周期管理，包括对可信应用的安装、卸载、更新等管理操作。本标准中不具体规定可信管理协议。在进行管理操作之前，宜对通信双方进行身份鉴别，并建立安全通信通道。功能要求移动智能终端侧功能单元移动应用移动应用要求如下：应能基于身份鉴别协议与依赖方进行交互，实现身份鉴别注册、身份鉴别、身份鉴别注销等业务流程；应能通过调用身份鉴别中间件与身份鉴别可信应用进行交互，实现身份鉴别注册、身份鉴别、身份鉴别注销等业务流程。应能对用户身份进行唯一性标识，一个用户可对应多个身份鉴别注册关系，一个身份鉴别注册关系应只对应于一个用户。宜设置生物特征识别身份鉴别失败尝试次数限制，在失败次数超出限制后，应限制用户继续尝试或者引导用户使用其他方式进行身份鉴别。身份鉴别中间件身份鉴别中间件提供的功能接口要求如下：宜支持获取身份鉴别可信应用版本号；宜支持获取可被身份鉴别可信应用支持的生物特征识别器信息，如生物特征识别器的实现模式（指纹、虹膜、人脸等）、版本号等；应支持身份鉴别注册、身份鉴别以及身份鉴别注销操作接口等；宜支持获取移动智能终端的设备唯一性标识。可对移动应用的调用权限进行校验，如采用与身份鉴别服务器直接进行信息交互的方式实现。身份鉴别可信应用身份鉴别可信应用要求如下：宜能向身份鉴别中间件提供身份鉴别可信应用版本号；应能对身份鉴别协议进行解析并验证其真实性和完整性，实现身份鉴别注册、身份鉴别以及身份鉴别注销等业务流程；应能支持在移动智能终端侧对身份鉴别注册关系进行管理，包括对与注册关系相绑定的用户鉴别密钥的管理，如生成、存储、使用和删除等；宜建立生物特征识别器验证过程与用户身份鉴别注册关系之间的对应关系，如通过生物特征模板摘要值进行关联等；应能对所支持的位于移动智能终端中的生物特征识别器进行管理，包括获取生物特征识别器信息，调用生物特征识别器对用户身份进行验证并获得验证结果等；应具备对用户鉴别密钥的使用控制，只有当从生物特征识别器获得的验证结果指示用户身份验证通过后才能使用用户鉴别密钥；宜对所在的移动智能终端进行设备唯一性标识，用于服务器侧的可信设备管理。生物特征识别器生物特征识别器功能要求如下：应可提供型号及版本信息，且具有唯一标识；宜具备对呈现攻击检测和防范的能力；特征采集模块应支持使用采集元件采集用户生物特征样本，并将其转化成适合生物特征识别处理的数据格式；应具有明确的用户提示，告知用户对其生物特征样本进行了采集，若采集过程分为多次进行，宜向用户明示每一次采集的进度；应支持对采集的用户生物特征样本进行质量判断，并从通过质量判断的用户生物特征样本中提取用户生物特征项，用于后续的生物特征存储或生物特征比对；宜采用不可逆的方式从用户生物特征样本中提取出生物特征项；特征存储模块同一用户在同一生物特征存储模块中应只对应唯一的身份标识；不能使用相同的用户身份标识去标识两个或以上不同用户；应能够把登记的用户生物特征模板与该用户的身份标识进行关联；应只允许具有合法权限的实体录入、访问、读取或删除生物特征存储模块中的用户生物特征数据；宜支持同一用户在生物特征存储模块中登记两个或多个生物特征模板；应具备异常情况判定及处理能力，如生物特征模板登记、读取或删除失败时应具有相应处理机制。特征比对模块应能够将输入的用户生物特征模板和已在生物特征存储模块中登记的生物特征模板进行比对，计算出比对得分；根据比对得分进行识别结果判定，并能够输出识别结果；应具备异常情况判定及处理功能，包括但不限于比对失败、识别决策失败时的相应处理机制。服务器侧功能单元依赖方依赖方要求如下：应能基于身份鉴别协议与移动应用进行交互，实现身份鉴别注册、身份鉴别、身份鉴别注销等业务流程；应能基于身份鉴别协议与身份鉴别服务器进行交互，实现身份鉴别注册、身份鉴别、身份鉴别注销等业务流程；应能根据身份鉴别结果授权用户访问服务器相应的服务或资源。身份鉴别服务器身份鉴别服务器要求如下：应能基于身份鉴别协议与依赖方进行交互，对身份鉴别协议进行解析并验证，实现身份鉴别注册、身份鉴别、身份鉴别注销等业务流程；应能够在服务器侧对身份鉴别注册关系进行管理，包括生成、维护和删除等；宜在服务器侧校验生物特征识别器验证过程与用户身份鉴别注册关系之间的对应关系，如通过生物特征模板摘要值等方式；宜具备可信应用管理和可信设备管理能力。安全要求移动智能终端侧安全要求移动应用移动应用要求如下：应符合GB/T34975-2017第4章安全技术要求；应采取有效的技术手段，确认与其通信的依赖方或身份鉴别服务器的真实性。可信环境可信环境总体安全要求可信环境应具备安全边界，在环境内部应提供技术手段，对位于可信环境中的代码和数据的安全性提供保证，如保密性、完整性和可用性等。可信执行环境可信执行环境应实现：从可信代码开始进行安全启动，通过签名校验等方法保证信任链的传递以确保TEE启动过程的完整性；通过硬件的隔离和系统的控制，保护高安全性数据的存储安全，如用户生物特征数据、用户鉴别密钥、身份鉴别可信应用数据和代码安全等；通过加密、隔离、认证等方式，对移动智能终端内不同实体间的通信信道、终端同外界的通信通道的数据传输进行安全性保护；通过访问权限的设置等方式保证功能和数据不被非法访问或者不恰当的访问；通过软硬件结合的安全措施保证终端的安全配置不被更改并具备相应的提示机制；通过对固件、密钥、永久数据等数据的保护策略保证TEE自身的安全性，为运行在其上的可信应用提供安全保护；通过生命周期管理、访问验证等措施保证对运行在其上的可信应用进行安全管理；采集元件应通过TEE中具有访问权限的可信应用进行调用，调用过程中应保证独占性。可信执行环境有关说明可参见附录A。安全单元安全单元提供一个安全的数据存储和运算环境，可用于存储密钥、用户生物特征数据等敏感信息，安全单元：应符合GB/T22186-2016的规定；宜具备应用访问控制机制，确保只有具备访问权限的外部实体才能够访问安全单元中的相应应用。身份鉴别可信应用应采取有效的技术手段，确保身份鉴别可信应用的生命周期管理如下载、安装、更新、卸载等的安全可控。身份鉴别可信应用安全要求如下:可采取有效的技术手段，对生物特征识别器的真实性和完整性进行校验。应具备访问控制机制，确保只有具备访问权限的移动应用才能通过身份鉴别中间件对身份鉴别可信应用进行访问调用；宜支持对生物特征识别器的真实性和完整性进行校验；在完成身份鉴别业务流程后，身份鉴别可信应用应及时清除内存中的临时数据；应采取有效的技术手段，确保身份鉴别注册流程中生成的用户密钥的随机性，并应采取有效的技术手段，确保对生成的用户密钥的安全存储和使用。生物特征识别器应具备有效的技术手段对生物特征识别器的真实性、完整性进行校验。生物特征识别器安全要求如下：特征采集模块应具备有效的安全机制，确保生物特征样本采集、质量判断、呈现攻击检测、生物特征项提取和传输过程中的用户生物特征数据的机密性和完整性；应及时清除未通过质量判断的用户生物特征样本，并确保其不可恢复；生物特征项提取结束后应及时清除用户的生物特征样本，并确保其不可恢复；宜结合移动智能终端所具有的可信执行环境或安全单元实现上述安全机制。特征存储模块应具有有效的安全机制，确保已登记用户生物特征模板与该用户标识之间的正确关联关系，防止被非法修改与获取；应具备有效的安全机制，确保在对生物特征存储模块中用户生物特征数据进行操作时，如存储和传输时，用户生物特征数据的机密性和完整性，并在操作完成后对操作过程中的临时数据（如存储或传输过程中，留存在设备动态内存中的与生物特征样本等数据），进行及时清除并确保不可恢复；宜采用加密方式对用户生物特征模板数据进行存储；对于已删除的用户生物特征模板数据，应及时进行清除并确保不可恢复；宜结合移动设备所具有的可信执行环境或安全单元实现上述安全机制。特征比对模块应具备有效的安全机制，确保在进行生物特征比对操作时，生物特征模板读取的准确性；生物特征数据不被窃取或篡改；相似度计算结果不被窃取或篡改；识别决策结果不被窃取或篡改；比对结束后，应及时清除用户生物特征数据和比对过程中所产生的其他临时数据（如比对得分等）应设定比对失败尝试次数限制，比对失败次数超出限制后，应采取相应的失败处理机制；应采取有效的安全机制，确保识别结果输出时的完整性，不被非法篡改。服务器侧安全要求依赖方依赖方安全要求如下：应符合GB/T35281-2017中规定的安全要求。应采取有效的安全机制，校验身份鉴别服务器返回的身份鉴别结果的完整性和真实性，并应通过校验鉴别协议报文中的动态信息如随机数等来防止重放攻击；身份鉴别服务器身份鉴别服务器安全要求如下：应符合GB/T35281-2017中规定的安全要求；应采取有效的安全机制，确保与其通信的依赖方身份的真实性；应采取有效的技术手段，校验身份鉴别业务流程中所使用的生物特征识别器的真实性和完整性；应通过校验鉴别协议报文中的动态信息如随机数等来防止身份鉴别业务流程中的重放攻击。通信安全要求模块间通信安全要求如下：应能采用有效的技术手段，确保移动应用与依赖方之间通信双方身份真实性、通信数据的机密性、完整性，包括但不限于采取密码算法和安全协议（如SSL/TLS等）。应能采用有效的技术手段，确保依赖方与身份鉴别服务器之间通信双方身份真实性、通信数据的保密性、完整性，包括但不限于采取密码算法和安全协议（如SSL/TLS等）。应能采用有效的技术手段，确保移动应用与身份鉴别可信应用之间通信双方身份真实性、通信数据的完整性。应能采用有效的技术手段，确保身份鉴别可信应用与生物特征识别器之间通信数据的机密性和完整性。身份鉴别协议安全要求身份鉴别协议安全要求如下：身份鉴别协议中应包含动态信息如挑战码、随机数等用以防止重放攻击。身份鉴别注册业务中生成的用户鉴别密钥，宜采用非对称密码算法实现。（资料性附录）可信执行环境说明一般来说，运行在移动设备中的开放执行环境被称为富执行环境，富执行环境为运行其中的应用程序提供开放、丰富的运行能力支持，但安全保护能力相对较弱。可信执行环境是指运行在移动设备中的隔离执行环境，相对于富执行环境，具备较强的安全能力，可信执行环境保证各种敏感数据在一个可信环境中被安全传输、存储、处理，并为可信应用提供一个安全的执行环境。在移动智能终端，可信执行环境确保数据机密性、完整性、可用性和访问权限；保证人机交互、密码输入、生物特征交互、可信信息的输出，为安全载体提供可信操作环境,如图A.1所示。图A.1可信执行环境示意图以安全启动为例，移动智能终端安全启动代码应进行完整性验证，当验证通过后执行安全启动过程。安全启动信任链可信根源于安全芯片，覆盖芯片安全环境启动，终端安全环境启动。安全启动过程是指通过签名验证方法(具体实现依赖于芯片制造商)来检验TEE启动过程的每一个阶段，以确保TEE内软件镜像的完整性，防止对软件进行非授权或者恶意的修改。安全启动过程保证了TEE的安全功能被正确地初始化，并且这个初始化过程不受REE的攻击，同时使固件的版本符合TEE版本更新策略。安全启动也伴随着一个信任链，即整个过程开始于一个可信代码（即这个代码的完整性受到保障）或者信任根，之后在执行其它代码之前都要验证其可靠性。对于在安全启动过程中哪些代码需要验证本部分不具体定义。安全启动的代码也可以通过空中下载技术以代码镜像的方式进行更新。为了保证代码更新的安全性，在更新代码之前必须验证更新镜像的可靠性和完整性。（资料性附录）基于指纹识别的身份鉴别应用在实际应用中，基于指纹识别的身份鉴别应用主要可分为注册和鉴别两个流程。注册流程一般为：用户在智能终端通过移动应用向移动应用服务器发起指纹身份鉴别注册请求；移动应用服务器判断是否允许此次指纹身份鉴别注册请求，如允许，向身份鉴别服务器转发身份鉴别注册请求；身份鉴别服务器判断是否允许此次指纹身份鉴别注册请求，如允许，返回指纹身份鉴别注册请求响应，并经移动应用服务器返